Es wurde ein neuer Angriffstyp auf selbstfahrende Fahrzeugsysteme identifiziert, der die KI dazu zwingt, Verkehrsschilder am Straßenrand zu ignorieren. Die Technologie erfordert, dass das Auto über kamerabasierte Computersicht verfügt, da dies eine Grundvoraussetzung für die Wahrnehmung autonomer Fahrzeuge ist, und der Angriff besteht darin, den Rollverschluss der Kamera mit einer Leuchtdiode auszunutzen, um das KI-System des Fahrzeugs in die Irre zu führen.
Selbstfahrende Systeme können gefährdet sein
Durch die Funktionsweise von CMOS-Kameras, den am häufigsten in Autos verwendeten Kameras, kann die Farbwahrnehmung durch die sich schnell ändernde Lichtstrahlung schnell blinkender Dioden verändert werden.
Dies ist derselbe Effekt, den Menschen spüren, wenn ihnen schnell ein Licht in die Augen leuchtet und sich die Farbsichtbarkeit für einige Sekunden ändert.
Kamerasensoren werden häufig als ladungsgekoppelte Bauelemente (CCDs) oder komplementäre Metalloxid-Halbleiter (CMOS) geliefert. Der erste Typ erfasst das gesamte Bild, da er alle Pixel gleichzeitig belichtet. Bei CMOS verhält es sich jedoch anders, da hier ein elektronischer Verschluss verwendet wird, der das Bild Zeile für Zeile erfasst. Nehmen Sie als Beispiel einen herkömmlichen Heimcomputerdrucker, der zeilenweise druckt, um ein Bild zu erzeugen.
Der Nachteil besteht jedoch darin, dass die Bildzeilen des CMOS-Systems zu unterschiedlichen Zeiten erfasst werden, um ein Bild zu bilden. Schnelle Lichtverhältnisse mit wechselnden Lichtverhältnissen können daher das Bild verzerren, indem sie unterschiedliche Farbtöne im Sensor erzeugen.
Der Grund für ihre breite Verwendung in allen Arten von Kameras, auch in Fahrzeugen, liegt jedoch darin, dass sie weniger kosten und ein gutes Verhältnis zwischen Bildqualität und Kosten bieten. Auch Tesla und einige andere Fahrzeughersteller verwenden CMOS-Kameras in ihren Fahrzeugen.
Studienergebnisse
Quelle: Github.
In einer aktuellen Studie haben Forscher den oben beschriebenen Vorgang als potenziellen Risikofaktor für selbstfahrende Autos identifiziert, da Angreifer die Eingangslichtquelle so steuern können, dass auf dem aufgenommenen Bild verschiedenfarbige Streifen entstehen und so die Interpretation des Bildes durch das Computer-Vision-System fehlgeleitet wird.
Mithilfe von Leuchtdioden (LEDs) erzeugten die Forscher eine flackernde Lichtumgebung und versuchten, die Bildklassifizierung im angegriffenen Bereich in die Irre zu führen. Außerdem erzeugte ein Kameraobjektiv farbige Streifen, die die Objekterkennung störten, wenn ein Laser in das Objektiv abgefeuert wurde.
Während sich frühere Studien auf Einzelbildtests beschränkten und die Forscher nicht so weit gingen, eine Bildsequenz zu erstellen, um einen kontinuierlichen stabilen Angriff in einer kontrollierten Umgebung zu simulieren, zielte die aktuelle Studie darauf ab, einen stabilen Angriff zu simulieren, der Auswirkungen auf die Serversicherheit für autonome Fahrzeuge aufzeigte.
In unmittelbarer Nähe eines Verkehrsschildes wurde eine LED aktiviert, die ein kontrolliertes, schwankendes Licht auf das Schild projizierte. Die schwankende Frequenz ist für das menschliche Auge nicht sichtbar, daher ist sie für uns unsichtbar und die LED erscheint wie ein harmloses Beleuchtungsgerät. Auf der Kamera war das Ergebnis jedoch ganz anders, da sie farbige Streifen erzeugte, die die Verkehrsschilderkennung verfälschten.
Damit der Angriff das selbstfahrende System jedoch völlig in die Irre führt und falsche Entscheidungen trifft, müssen die Ergebnisse in mehreren aufeinanderfolgenden Frames gleich sein. Denn wenn der Angriff nicht stabil ist, erkennt das System möglicherweise die Fehlfunktionen und versetzt das Fahrzeug in den Fail-Safe-Modus, beispielsweise durch Umschalten auf manuelles Fahren.